https://mobile.opennet.me/openforum/vsluhforumID6/22425.html Здравствуйте!<br><br>Имею ASA, на которой находится VPN-сервер с авторизацией через Active Directory.<br>Настроена следующим образом:<br><br>aaa-server DC1 protocol nt<br>aaa-server DC1 (inside) host 172.25.х.у<br> nt-auth-domain-controller DC1<br><br>Провел пару дней за изучением манов и гугла, но так и не понял можно ли каким-либо образом указать группу в AD? Тоесть если пользователь находится в группе for_vpn (например) в AD, то тогда его аутентификация считается успешной, иначе - нет.<br> https://mobile.opennet.me/openforum/vsluhforumID6/22425.html#12 Thu, 05 Feb 2015 06:44:15 GMT Здравствуйте уважаемые,<br>прошу оказать помощь в рещении задачи Cisco ASA + LDAP + Active Directory<br>извиняюсь если в конфиге есть ошибки, так как он "тестовый"<br>заранее всех благодарю за оказанную помощь!<br>далее по тексту:<br>1. при создании локального пользователя - соединение устанавливается через L2TP.<br>2. при добавлении authentication-server-group testing.loc в логах, что пользователь и пароль не найден!<br><br>#sh ver<br>Cisco PIX Security Appliance Software Version 8.0(4)32<br>Device Manager Version 6.1(5)<br>Compiled on Tue 05-May-09 14:50 by builders<br>System image file is "flash:/pix804.bin"<br>Config file at boot was "startup-config"<br>fw0 up 22 hours 21 mins<br>Hardware: PIX-515, 192 MB RAM, CPU Pentium 200 MHz<br>Flash i28F640J5 @ 0x300, 16MB<br>BIOS Flash AT29C257 @ 0xfffd8000, 32KB<br>Licensed features for this platform:<br>Maximum Physical Interfaces : 6<br>Maximum VLANs : 25<br>Inside Hosts : Unlimited<br>Failover : Active/Active<br>VPN-DES : Enabled<br>V https://mobile.opennet.me/openforum/vsluhforumID6/22425.html#11 Mon, 09 Apr 2012 21:06:34 GMT &gt; Ура! Все отлично!<br>&gt; итоговая конфигурация (может кому понадобится): <br><br>Спасиб, очень пригодилось! :)<br> https://mobile.opennet.me/openforum/vsluhforumID6/22425.html#10 Fri, 08 Apr 2011 04:22:18 GMT &gt;[оверквотинг удален]<br>&gt; authentication pap <br>&gt; no authentication chap <br>&gt; Для Cisco VPN Client <br>&gt; tunnel-group RA type remote-access <br>&gt; tunnel-group RA general-attributes <br>&gt; address-pool VPNPOOL <br>&gt; authentication-server-group DC1 <br>&gt; default-group-policy NOACCESS <br>&gt; tunnel-group RA ipsec-attributes <br>&gt; pre-shared-key * <br><br>отличный конфиг кстати. возьму на вооружение.<br><br>Немного и в тему и нет.. а кто-нибудь реализовывал следующее?<br><br>Вся сеть на вин, AD, все как положено. <br>Хочется сделать следующее: пользователь заходит в систему, использую данные AD, в AD есть группа, которым разрешено ходить в интернет, собтсвенно хочется завязать все это дело с Cisco ASA.<br>Сейчас все это реализовано на MS ISA, по некоторым причинам хочу избавиться, если это возможно.<br><br>В общем все тоже самое как тут в топике, только без VPN.<br><br>Буду рад совету и вашему опыту.<br>Спасибо.<br><br> https://mobile.opennet.me/openforum/vsluhforumID6/22425.html#9 Thu, 07 Apr 2011 15:04:52 GMT Ура! Все отлично!<br><br>итоговая конфигурация (может кому понадобится):<br><br>ldap attribute-map LDAPVPNMAP<br> map-name memberOf IETF-Radius-Class<br> map-value memberOf CN=VPNUsers,DC=MY,DC=DOMAIN VPN_POLICY<br><br>aaa-server DC1 protocol ldap<br>aaa-server DC1 (inside) host 172.25.x.y<br> ldap-base-dn DC=MY,DC=DOMAIN<br> ldap-scope subtree<br> ldap-naming-attribute sAMAccountName<br> ldap-login-password *<br> ldap-login-dn CN=ASA_LDAP,OU=IT,DC=MY,DC=DOMAIN<br> server-type auto-detect<br> ldap-attribute-map LDAPVPNMAP<br><br>group-policy NOACCESS internal<br>group-policy NOACCESS attributes<br> vpn-simultaneous-logins 0<br><br>group-policy VPN_POLICY internal<br>group-policy VPN_POLICY attributes<br> dns-server value 172.25.х.у 172.25.x.z<br> vpn-simultaneous-logins 100<br> vpn-idle-timeout 60<br> vpn-tunnel-protocol IPSec l2tp-ipsec <br> split-tunnel-policy tunnelspecified<br> split-tunnel-network-list value SPLIT_TUN<br><br>Для подключения обычного виндового клиента:<br>tunnel-group DefaultRAGroup general-attributes<br> address-pool VPNPOOL_<br> authentication-server https://mobile.opennet.me/openforum/vsluhforumID6/22425.html#8 Thu, 31 Mar 2011 12:30:02 GMT &gt;&gt;[оверквотинг удален] <br>&gt; Включи дебаг на асе и ты увидешь что AD отдает не только <br>&gt; прошла ли авторизация или нет, но и все параметры пользователя в <br>&gt; том числе к какой он группе принадлежит. А аса в это <br>&gt; время из всех параметров вылавливает нужный.<br>&gt; Вообще вот это глянь.<br>&gt; certification.ru/cgi-bin/forum.cgi?action=thread&id=37799 <br><br>Читал, в субботу буду тестировать, отпишусь как прошло.<br><br>Еще возник вопрос по строке:<br>map-value memberOf "CN=DesktopVPN,OU=VPN,OU=Groups,DC=HUMCDOMAIN,DC=LOCAL" DesktopVPNGP <br><br>DesktopVPNGP - это имя group-policy.<br>Дело в том, что у меня две group-policy:<br><br>group-policy VPN_POLICY internal<br>group-policy VPN_POLICY attributes<br> dns-server value 172.25.х.у 172.25.x.z<br> vpn-simultaneous-logins 100<br> vpn-idle-timeout 60<br> vpn-tunnel-protocol IPSec<br> split-tunnel-policy tunnelspecified<br> split-tunnel-network-list value SPLIT_TUN<br>group-policy L2TP internal<br>group-policy L2TP attributes<br> dns-server value 172.25.x.y 172.25.x.z<br> vpn-simultaneous-logins 100<br> vpn-idle-t https://mobile.opennet.me/openforum/vsluhforumID6/22425.html#7 Thu, 31 Mar 2011 10:50:19 GMT &gt;[оверквотинг удален]<br>&gt; Вы написали - слышал только слово MS :)) <br>&gt; Я рассуждаю с такой точки зрения - ASA спрашивает у доменного контроллера <br>&gt; успешна ли авторизация по паре логин-пароль, контроллер возвращает успешна или нет. <br>&gt; Единственным вариантом при котором по одной и той же паре логин-пароль контроллер <br>&gt; будет отвечать и "да", и "нет" - это какая-то группа. Тоесть <br>&gt; сама ASA должна по паре логин-пароль получить кроме "да"/"нет" еще и <br>&gt; имя группы, и сверить её со своим конфигом.<br>&gt; С использованием Remote Access Policy, он должен возвращать для одной и той <br>&gt; же пары логин-пароль "да", если это авторизация в winlogon, и "нет", <br>&gt; если эту авторизацию запрашивает ASA?<br><br>Включи дебаг на асе и ты увидешь что AD отдает не только прошла ли авторизация или нет, но и все параметры пользователя в том числе к какой он группе принадлежит. А аса в это время из всех параметров вылавливает нужный.<br><br>Вообще вот это глянь.<br>certification.ru/cgi-bin/forum.cgi?action=thread&id=37799<br> https://mobile.opennet.me/openforum/vsluhforumID6/22425.html#6 Wed, 30 Mar 2011 14:07:31 GMT &gt;&gt;&gt;&gt; Здравствуйте!<br>&gt;&gt;&gt;&gt; Имею ASA, на которой находится VPN-сервер с авторизацией через Active Directory.<br>&gt;&gt;&gt; В данное время у тебя пускает всех?<br>&gt;&gt; Да, абсолютно всех.<br>&gt; А Remote Access Policy в IAS зря чтоль MS делал :) <br><br>К сожалению, я знаком с продуктами MS постольку-поскольку, и из всего что Вы написали - слышал только слово MS :))<br><br>Я рассуждаю с такой точки зрения - ASA спрашивает у доменного контроллера успешна ли авторизация по паре логин-пароль, контроллер возвращает успешна или нет. <br>Единственным вариантом при котором по одной и той же паре логин-пароль контроллер будет отвечать и "да", и "нет" - это какая-то группа. Тоесть сама ASA должна по паре логин-пароль получить кроме "да"/"нет" еще и имя группы, и сверить её со своим конфигом.<br>С использованием Remote Access Policy, он должен возвращать для одной и той же пары логин-пароль "да", если это авторизация в winlogon, и "нет", если эту авторизацию запрашивает ASA?<br><br> https://mobile.opennet.me/openforum/vsluhforumID6/22425.html#5 Wed, 30 Mar 2011 12:34:13 GMT &gt;&gt;&gt; Здравствуйте!<br>&gt;&gt;&gt; Имею ASA, на которой находится VPN-сервер с авторизацией через Active Directory.<br>&gt;&gt; В данное время у тебя пускает всех?<br>&gt; Да, абсолютно всех.<br><br>А Remote Access Policy в IAS зря чтоль MS делал :) <br> https://mobile.opennet.me/openforum/vsluhforumID6/22425.html#4 Wed, 30 Mar 2011 10:59:47 GMT &gt;[оверквотинг удален]<br>&gt;&gt; пользователь находится в группе for_vpn (например) в AD, то тогда его <br>&gt;&gt; аутентификация считается успешной, иначе - нет.<br>&gt; Можно, вот только когда я разбирался мне понадобилось две группы. В одной <br>&gt; пользователи с доступом, в другой нет.<br>&gt; Данная задача на ASA реализуется через атрибут IETF-Radius-Class memberOf <br>&gt; Атрибут <br>&gt; ldap attribute-map anyadminmap <br>&gt; map-name memberOf IETF-Radius-Class <br>&gt; map-value memberOf CN=testogroup,CN=Users,DC=main,DC=ru testogroup <br>&gt; Потом сделал через галку в закладке "Dial in" принцип тотже.<br><br>Я правильно понимаю, что ldap attribute-map будет действовать только при aaa-server DC1 protocol ldap?<br><br>Буду тестировать, спасибо за наводку<br>